เกาหลีเหนือยกระดับแฮ็กคริปโต รุกโจมตี macOS ผ่านมัลแวร์ ‘Mach-O Man’ ล้วงสิทธิ์ระบบฟินเทคทั่วโลก

เกาหลีเหนือเดินหน้าปฏิบัติการเจาะระบบครั้งใหม่ผ่านกลุ่มแฮกเกอร์รัฐ ‘ลาซารัส(Lazarus)’ ด้วยแคมเปญมัลแวร์ macOS ชื่อ ‘Mach-O Man’ มุ่งเล่นงานบริษัท ‘คริปโต’ และ ‘ฟินเทค’ โดยเฉพาะ จุดโจมตีไม่ได้เริ่มจากไฟล์แนบหรือการคลิกเพียงอย่างเดียว แต่ใช้การหลอกให้เหยื่อ ‘คัดลอก–วางคำสั่งเทอร์มินัล’ ด้วยตัวเอง จนสิทธิ์เข้าถึงระบบองค์กรและบัญชีเงินทุนถูกยึดไปทั้งชุด

เมื่อวันที่ 23 (เวลาท้องถิ่น) สื่อด้านความปลอดภัยรายงานว่า กลุ่มลาซารัสซึ่งเป็นหน่วยแฮกกิงภายใต้รัฐเกาหลีเหนือ กำลังดำเนินแคมเปญใหม่ภายใต้ชื่อ ‘Mach-O Man’ มุ่งโจมตีผู้บริหารและผู้มีอำนาจอนุมัติในองค์กรคริปโตและฟินเทคเป็นหลัก นาตาลี นิวสัน(Natalie Newsom) นักวิจัยความปลอดภัยบล็อกเชนจาก CertiK ระบุว่า การโจมตีครั้งนี้ “ปลอมตัวเป็นการสื่อสารธุรกิจทั่วไป แต่เชื่อมตรงไปสู่การขโมยข้อมูลยืนยันตัวตนและการรั่วไหลของข้อมูลสำคัญ”

ตามข้อมูลการประเมิน ลาซารัสถูกเชื่อมโยงกับการโจรกรรมสินทรัพย์ดิจิทัลรวมราว 6.7 พันล้านดอลลาร์สหรัฐ (ประมาณ 9.91 แสนล้านบาท) นับตั้งแต่ปี 2017 เฉพาะในช่วง 2 สัปดาห์ที่ผ่านมา ก็ถูกชี้ว่าอยู่เบื้องหลังการโจมตีโปรโตคอลดีไฟ ‘ดริฟต์(Drift)’ และ ‘เคลป์DAO(KelpDAO)’ คิดเป็นมูลค่ารวมกว่า 500 ล้านดอลลาร์สหรัฐ (ราว 7.4 หมื่นล้านบาท)

หัวใจของแคมเปญ ‘Mach-O Man’ อยู่ที่เทคนิควิศวกรรมสังคมชื่อ ‘ClickFix’ ผู้โจมตีจะติดต่อเป้าหมายผ่านแพลตฟอร์มแชตอย่างเช่น เทเลแกรม โดยส่งคำเชิญเข้าร่วม ‘ประชุมด่วน’ หรือ ‘ประชุมฉุกเฉิน’ พร้อมลิงก์ไปยังหน้าเว็บที่ปลอมเป็น Zoom หรือ Google Meet จากนั้นจะมีข้อความอธิบายว่าระบบเชื่อมต่อมีปัญหา และแนะนำให้เหยื่อเปิดเทอร์มินัลบน ‘Mac’ แล้ววางคำสั่งสั้น ๆ ตามคู่มือ

ทันทีที่ผู้ใช้กดรันคำสั่งดังกล่าว สิทธิ์เข้าถึงเครื่องทำงาน แอป SaaS ภายในองค์กร ไปจนถึง ‘บัญชีสินทรัพย์คริปโต’ และบัญชีที่เกี่ยวข้องกับเงินทุนของบริษัทจะถูกเปิดให้ผู้โจมตีทันที นักวิจัยความปลอดภัย เมาโร เอลดริช(Mauro Eldritch) ชี้ว่า กระบวนการทั้งหมด “ดูเหมือนขั้นตอนแก้ปัญหาปกติในที่ทำงาน ทำให้เหยื่อรู้สึกว่ากำลังทำตามคู่มือฝ่ายไอที จึงลงมือเรียกใช้คำสั่งอันตรายด้วยตัวเอง”

มัลแวร์ ‘Mach-O Man’ ถูกออกแบบมาเฉพาะสำหรับสภาพแวดล้อม ‘macOS’ และใช้โครงสร้างแบบโมดูลาร์ พัฒนาโดยหน่วยย่อย ‘Chollima’ ภายใต้กลุ่มลาซารัส จุดเด่นคือรองรับรูปแบบการทำงานของบริษัทคริปโตและฟินเทค เช่น การบริหารกระเป๋าเงิน, ระบบเทรด, พอร์ทัลจัดการสิทธิ์เข้าถึงบนคลาวด์ และเครื่องมือดีไฟต่าง ๆ

มีรายงานแล้วว่า ในบางกรณีผู้โจมตีใช้สิทธิ์ที่ยึดมาได้เปลี่ยนการตั้งค่าโดเมนของโปรเจกต์ดีไฟ เปลี่ยนปลายทาง DNS ของเว็บทางการไปยังเพจปลอมที่สวมรอยเป็นหน้า ‘ยืนยันตัวตนของ Cloudflare’ หรือผู้ให้บริการความปลอดภัยเว็บรายใหญ่ เมื่อผู้ใช้หรือทีมงานล็อกอินบนหน้าเหล่านี้ ข้อมูลยืนยันตัวตนและกุญแจเข้าถึงก็จะถูกเก็บไปใช้โจมตีซ้ำ นิวสันอธิบายว่า “หน้าเพจเหล่านี้มีความเนียนสูง และขั้นตอนลื่นไหลจนระบบป้องกันทั่วไปมักจะไม่ตรวจจับความผิดปกติได้”

อีกชั้นหนึ่งของความเสี่ยงคือ ‘จุดที่เหยื่อรู้ตัวช้าเกินไป’ มัลแวร์ในแคมเปญ Mach-O Man ถูกออกแบบให้ทำงานเก็บข้อมูลและถ่ายโอนสิทธิ์เข้าถึงเรียบร้อยแล้วลบตัวเองทิ้ง ทำให้การตรวจสอบย้อนหลังทั้งบน macOS และบนระบบองค์กรทำได้ยากมาก นิวสันเตือนว่า “มีความเป็นไปได้สูงที่ผู้ใช้จำนวนมากไม่รู้แม้แต่ตนเองถูกโจมตี และถึงจะรู้ตัวก็ยากที่จะระบุได้ทันทีว่ากำลังเผชิญกับมัลแวร์สายพันธุ์ไหน หรือช่องโหว่ถูกเปิดไว้มานานเท่าไรแล้ว”

ความเคลื่อนไหวรอบ ‘Mach-O Man’ สะท้อนชัดว่าเกาหลีเหนือยกระดับ ‘การแฮ็กคริปโต’ ไปสู่การดำเนินงานในระดับ ‘อุตสาหกรรมของรัฐ’ มากกว่าปฏิบัติการแฮกเดี่ยวแบบอดีต นักวิเคราะห์ด้านความปลอดภัยชี้ตรงกันว่ากลุ่มลาซารัสไม่ควรถูกมองเป็นเพียงกลุ่มแฮกเกอร์ทั่วไปอีกต่อไป แต่ต้องจัดเป็น ‘ภัยคุกคามถาวรที่มีการจัดองค์กรเต็มรูปแบบ’ ต่ออุตสาหกรรม ‘คริปโต’ และ ‘ฟินเทค’ ทั่วโลก

‘ความคิดเห็น’: สำหรับบริษัทที่ใช้ macOS เป็นมาตรฐานและมีการถือครอง ‘สินทรัพย์ดิจิทัล’ การตั้งนโยบายห้ามรันคำสั่งเทอร์มินัลตามที่บุคคลภายนอกส่งมา รวมถึงการใช้บัญชีแยกสำหรับการทำงานด้านคริปโตและการทดสอบ อาจกลายเป็นเกราะป้องกันเบื้องต้นที่จำเป็น ก่อนที่จะต้องเผชิญกับแคมเปญใหม่ ๆ จากลาซารัสและกลุ่มที่มีรัฐหนุนหลังในอนาคต